Anwenungen im Editor! Hilfe!

[xero]

Hi

Immer wenn ich eine Anwendung starten will, offnet sich ein Editor Fenster mit Hyroglyphen.... egal was das für ne Anwendung is...
Help plz!


xero

[affa]

bitte mach mal ein screen von dem popup und poste es hier
dann lade dir Hijackthis runter *klick*
poste dann das log im [ CODE] [ /CODE] (ohne leerzeichen in den klammern) und wir schauen uns dein problem an.

affa

[xero]

also die log:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 19:07:06, on 03.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Teamspeak2_Client\TeamSpeak.exe
C:\Dokumente und Einstellungen\fr34k0uT\Desktop\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\ServicePackFiles\i386\msconfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\ZnIzNGswdVQA\command.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Der Screen:

http://ruler.lima-city.de/screen1.jpg
so starte ich Programme seit dem xD

http://ruler.lima-city.de/screen2.jpg
und so sieht z.B. steam.exe aus....

[affa]

die steam.exe wäre entweder das Halv-Live Game ein zusatz dazu oder du hast dir ein RootKit eingefangen
du hast ja spy sweeper am laufen, was meint der dazu? kannste da mal das log posten ?


affa

[xero]

Dazu: davor hat der viel mehr gefunden, hab die log nicht mehr sry... ich muss ma suchen vlt find ich sie doch noch ma....

Code:

Spy Sweeper stellt Ihnen detaillierte Angaben zu den in diesem Bereich durchgeführten Vorgängen zur Verfügung.

Um ein vollständiges Entfernen von Spyware, Adware und anderen unerwünschten Elementen zu gewährleisten, schließen Sie alle geöffneten Programme.
Entsprechend Ihren Suchoptionen werden folgende Elemente durchsucht:
Laufwerke: C: 
Ebenfalls durchsucht: Arbeitsspeicher, Cookies, Registrierung
Spy Cookie gefunden: 2o7.net cookie
Spy Cookie gefunden: atlas dmt cookie
Spy Cookie gefunden: atwola cookie
Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 00:13:55
Gefundene Spuren: 3

[affa]

was steht in der registry unter hkey_classes_root\.exe bzw hkey_classes_root\exefile ?

unter hkey_local_machine\software\classes\ gibts die selben einträge nocheinmal.


bitte nachgucken und posten


affa

[Ruby]

@ xero

Lade folgendes Programm runter:

CCleaner

1
Stell bitte zunächst ale erstes Spybot's TeaTimer ab, falls er laufen sollte, da er alle Arbeiten am System behindert.

2
Klick auf START > ausführen ... schreib 'services.msc' in das Eingabefensterchen, das sich dann öffnet und klicke auf 'OK'.

3
Scrolle auf der Seite, die sich nun öffnet, nach unten bis du 'Command Service' oder 'cmdService' findest...
Rechtsklick auf diesen Eintrag, wähle Eigenschaften und drücke auf 'Stop Service' oder 'Service beenden' oder 'Dienst beenden'. Wenn angezeigt wird, dass er beendet ist, setze ihn bitte im 'Start-Up' auf 'ausschalten'. Drücke nun wieder auf 'ok', um zu Windows zurückzukehren.

4
Lass HijackThis laufen. Aber nicht scannen lassen. Klicke auf den Button "None of the above, just start the program". Drücke dann auf den 'Config' Button, und dann auf 'Misc tools'. Wähle 'Delete an NT Service" ... copy/paste in das Eingabefeld:

'Command Service' oder 'cmdService' (das was oben stand)

Drücke auf "OK":

5
Boote in den abgesicherten Modus

Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\ZnIzNGswdVQA\command.exe (file missing)

Drücke auf den Fix Button.
Beende das Programm HijackThis.

6
Boote in den normalen Modus.

7
Lass nun den CCleaner laufen.
Setze Häkchen im alle Fächer unter allen Tabs.
Achte darauf dass der Inhalt von C:\WINDOWS\Prefetch geleert wird!

8
START > ausführen (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden

9
Boote in den normalen Modus.

10
Lass HijackThis laufen,
erstelle und poste ein neues Logfile.

[xero]

@ xero

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\ZnIzNGswdVQA\command.exe (file missing)

Das war nicht der Fall...

Code:

Logfile of HijackThis v1.99.1
Scan saved at 22:35:33, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\fr34k0uT\Desktop\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\ServicePackFiles\i386\msconfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[xero]

was steht in der registry unter hkey_classes_root\.exe bzw hkey_classes_root\exefile ?

unter hkey_local_machine\software\classes\ gibts die selben einträge nocheinmal.


bitte nachgucken und posten


affa

bei ".exe":
(Standard) REG_SZ exefile
Content Type REG_SZ application/x-msdownload


bei "exefile":
(Standard) REG_SZ Anwendung
EditFlags REG_BINARY 38 07 00 00
InfoTip REG_SZ prop:FileDescription;Company;FileVersion;Create;Size
TileInfo REG_SZ prop:FileDescription;Company;FileVersion



und bei "hkey_local_machine\software\classes\" gibts das selbe....

[xero]

Also:


Ich hab jetzt übernacht meinen Rechner neu gemacht (formatiert & windoof neu raufgemacht) und jetzt gehts wieder, ich danke euch für eure hilfe!!


xero